Häufig gestellte Fragen zur PSD2

Hierbei handelt es sich um eine europäische Vorschrift, die den Wettbewerb und die Innovation rund um den Zahlungsverkehr und Geldgeschäfte fördern soll. 

Die PSD2-Richtlinie erlaubt Ihnen, anderen Unternehmen, den sogenannten Drittanbietern (Third Party Providers, TPPs), die Erlaubnis zu erteilen, Ihre Zahlungsdaten von ING zu erheben, etwa, um Ihnen einen Gesamtüberblick anzubieten. Banken sind dann verpflichtet, diese Informationen weiterzugeben. 

Das gilt jedoch nur dann, wenn Sie dies auch möchten und ausdrücklich und persönlich Ihre Zustimmung erteilt haben. Andernfalls nicht.  

Hier erfahren Sie, wie es funktioniert.

Banken, aber auch Unternehmen, bei denen es sich nicht um Banken handelt, dürfen infolge der PSD2 Kontoinformationsdienste und Zahlungsdienste anbieten. Wir bezeichnen sie als Drittanbieter (Third Party Providers, TPPs).  

Nicht jedes Unternehmen darf diese Dienste anbieten. Die PSD2 sieht strenge Vorgaben vor und die Unternehmen müssen eine Genehmigung beantragen.  

Für die Verwaltung dieser Vorgaben und die Aufsicht über die Unternehmen ist in Luxemburg die CSSF zuständig. Es ist auch möglich, dass das Unternehmen in einem anderen europäischen Land lizenziert ist. In diesem Fall wird die Lizenz von vergleichbaren Stellen in diesem Land geltend gemacht.

Zunächst einmal wahrscheinlich nicht sehr viel. Allerdings wird es neue Arten von digitalen Diensten und neue Zahlungsweisen im (Online-) Handel geben. Von Start-ups, von anderen Unternehmen, aber natürlich auch von uns, weil auch wir neue Dienste für Sie entwickeln. Auf diese Weise können Sie Ihre Geldgeschäfte noch leichter abwickeln.

Wir geben Ihre Transaktionsdaten und Ihren Kontostand weiter. Sie erteilen Ihre Zustimmung jeweils für ein Konto: Sie wählen aus, welche Unternehmen Zugriff auf welches Konto erhalten.

Beim ersten Mal geben wir Ihre Transaktionsdaten für die letzten 24 Monate weiter. Das ist in der PSD2 vorgeschrieben. Sie können die Zahlungsdaten dann über das Unternehmen ebenso wie bei uns in Ihrer gewohnten ING-App einsehen.

Konto- und Transaktionsdaten:

  • Ihre Kontonummer
  • Ihr Name
  • Name des Begünstigten
  • Kontonummer des Begünstigten
  • Verwendungszweck oder Zahlungsreferenz
  • Betrag und Datum der Transaktion

Bevor Sie einem Unternehmen Ihre Zustimmung erteilen, sollten Sie sorgfältig prüfen, ob Sie das Unternehmen tatsächlich kennen und ob es sinnvoll ist, dass es Sie um diese Zustimmung bittet. Das ist beispielsweise der Fall, wenn Sie eine Dienstleistung des Unternehmens in Anspruch nehmen möchten, für die es diese Daten benötigt. 

Wir gehen ebenso sorgfältig mit Ihren Daten um wie immer . Der Schutz Ihrer Daten hat für uns Priorität. Wir geben Zahlungsdaten nur an andere Anbieter von Kontoaggregations- und Zahlungsauslösediensten weiter, wenn Sie das möchten, und auch nur, wenn Sie dem Anbieter im Vorfeld Ihre Zustimmung erteilt haben. Sie können den Zahlungsdienstleistern Ihre Zustimmung jederzeit wieder entziehen.

Wenn Sie Ihre Zustimmung erteilen, überprüfen wir zunächst, ob das Unternehmen über ein gültiges eIDAS- (electronic IDentification, Authentication and trust Services = elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen) Zertifikat verfügt, das es benötigt, um innerhalb des EWR arbeiten zu können. Das tun wir nicht nur einmalig, sondern jedes Mal, wenn das Unternehmen versucht, auf Informationen zuzugreifen und sie abzurufen. 

Wir überprüfen auch, dass der Gültigkeitszeitraum der Zustimmung, die Sie dem Unternehmen erteilt haben, noch nicht abgelaufen ist.

Die Unternehmen dürfen Ihre Daten nur zu den Zwecken verwenden, für die Sie Ihre Zustimmung erteilt haben. Die luxemburgische Datenschutzbehörde überprüft, ob Unternehmen geschlossene Vereinbarungen einhalten.  

Gehen Sie sorgfältig mit Ihren Daten um. Denken Sie darüber nach, ob Sie einem Unternehmen Ihre Daten anvertrauen möchten. Dann sollten Sie beispielsweise zunächst die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung des Unternehmens lesen, an das Sie Ihre Informationen weitergeben möchten. Dadurch erfahren Sie, wie es mit Ihren Daten umgehen wird.

Die PSD2 ermöglicht neue Dienste, die Ihnen Ihre Geldgeschäfte erleichtern. Sie sollten jedoch vorsichtig sein, wenn Sie jemandem Zugriff auf Ihr Zahlungskonto gewähren. Bevor Sie einem Unternehmen Ihre Zustimmung erteilen, sollten Sie sorgfältig prüfen, ob Sie das Unternehmen tatsächlich kennen und ob es sinnvoll ist, dass es Sie um diese Zustimmung bittet. Das ist beispielsweise der Fall, wenn Sie eine Dienstleistung des Unternehmens in Anspruch nehmen möchten, für die es diese Daten benötigt. 

Wenn Sie aufgefordert werden, eine Zahlung zu leisten, überprüfen Sie zunächst, dass der Betrag und der Verwendungszweck stimmen. 

Außerdem sollten Sie zunächst die Geschäftsbedingungen und die Datenschutzerklärung des Unternehmens lesen, an das Sie Ihre Informationen weitergeben möchten. Dadurch erfahren Sie, wie es mit Ihren Daten umgehen wird. 

Darüber hinaus können Kriminelle die neuen PSD2-Vorschriften zum Anlass nehmen, Phishing-E-Mails zu versenden. Seien Sie also vorsichtig.

Die PSD2 ermöglicht neue Dienste, die Ihnen Ihre Geldgeschäfte erleichtern. Das können auch Dienste von Unternehmen sein, bei denen es sich nicht um Banken handelt. Ein Beispiel wäre eine App, in der Sie Ihr Budget verwalten. Sie können dieser App dann die Erlaubnis erteilen, Ihre Zahlungsdaten von verschiedenen Banken abzurufen. Auf diese Weise haben Sie in der Budget-App den vollen Überblick. Banken sind dann verpflichtet, diese Informationen weiterzugeben. Das geschieht jedoch nur, wenn Sie möchten. Andernfalls nicht. 

Hier erfahren Sie, wie es geht.

Sie können anderen Unternehmen drei Arten von Zugriff gewähren:

  1. Kontoinformationsdienst (Account Information Service, AIS): Sie können Ihre Zahlungstransaktionen und den Kontostand Ihres Girokontos bzw. Ihrer Girokonten bei verschiedenen Banken auf einem Bildschirm einsehen.  
  2. Zahlungsauslösedienste (Payment Initiation Services, PIS): Sie können über die Plattform eines anderen Anbieters Zahlungen von Ihren Konten bei verschiedenen Banken auslösen.
  3. Bestätigung der Verfügbarkeit von Geldbeträgen (Confirmation Availability of Funds, CAF): Ein Zahlungsdienstleister kann abfragen, ob ausreichend Geld für eine Kartenzahlung auf Ihrem Girokonto vorhanden ist.

Es kann Vorteile haben, wenn Sie Ihre Zustimmung für die Weitergabe von Daten erteilen. Der Informationsaustausch wird vereinfacht und es wird neue Dienste geben, die Ihnen Ihre Geldgeschäfte erleichtern. Diese können von Start-ups und anderen Unternehmen angeboten werden. 

Informationen für Geschäftskunden finden Sie hier.

Wenn Sie einwilligen möchten, müssen Sie eine „ausdrückliche Zustimmung“ erteilen. Das geht so: Sie werden auf eine spezielle interne gesicherte Website von ING weitergeleitet. Hier wählen Sie das Land Ihres Kontos bei ING aus (ING Luxemburg). Anschließend klicken Sie auf „Weiter“, um auf die Authentifizierungsseite zu gelangen. Standardmäßig wird die Seite für die Authentifizierung per LuxTrust Token angezeigt, auf der Sie Ihre Anmeldeinformationen (Nutzerkennung, Passwort, OTP) eingeben können. Sie können auf Wunsch aber auch eine andere Authentifizierungsart auswählen, z. B. die LuxTrust Mobile App, die LuxTrust Smartcard oder den LuxTrust Signing Stick.

Nun haben Sie, je nach Dienst, verschiedene Möglichkeiten:

  • Auswählen, auf welches Konto Sie für einen Zeitraum von 90 Tagen Zugriff gewähren möchten (Kontoinformationsdienste)
  • Auswählen, welches Konto Sie jeweils verwenden möchten, um eine Zahlung auszulösen (Zahlungsauslösedienste)
  • Auswählen, auf welches Konto Sie für unbestimmte Zeit bis auf Widerruf Zugriff gewähren möchten (Bestätigung der Verfügbarkeit von Geldbeträgen)

Nur dann haben andere Unternehmen Zugriff auf Ihre Zahlungskonten. Sie sehen also, Sie erteilen nicht einfach so Ihre Zustimmung. Sie müssen dazu selbst aktiv werden! Wenn Sie anderen Unternehmen Ihre Zustimmung nicht erteilen, ändert sich für Sie nichts.

Hier finden Sie noch einmal weitere Einzelheiten zu den drei unterschiedlichen Diensten, für die Sie Ihre Zustimmung erteilen können:  

1. Kontoinformationsdienste: Zum Anfordern von Transaktionen und Kontoständen.

Beispiel: Eine App, die Ihnen genau anzeigt, wofür Sie Ihr Geld ausgeben. Wir geben dann Ihre Transaktionsdaten und Ihren Kontostand weiter. 

Konto- und Transaktionsdaten:

  • Ihre Kontonummer
  • Ihr Name
  • Name des Begünstigten
  • Kontonummer des Begünstigten
  • Verwendungszweck oder Zahlungsreferenz
  • Betrag und Datum der Transaktion

2. Zahlungsauslösedienste: Für Zahlungen über Plattformen anderer Unternehmen. 

Sie können Online-Shops oder Zahlungsapps anweisen, Zahlungen von Ihrem Zahlungskonto bei ING zu leisten. Sie erteilen immer selbst die endgültige Genehmigung dazu. Dabei nutzen Sie Ihre übliche Authentifizierungsart. Andere Unternehmen können also nicht ohne Ihre Zustimmung Zahlungen von Ihrem Konto vornehmen. 

3. Bestätigung der Verfügbarkeit von Geldbeträgen: Andere Unternehmen können Ihren Kontostand abfragen, um herauszufinden, ob Ihr Zahlungskonto bei ING eine ausreichende Deckung für die Kartenzahlung für diese Transaktion aufweist. 

Sie können Unternehmen Ihre Zustimmung für solche Überprüfungen erteilen. ING teilt ihnen dann lediglich mit „Ja“ oder „Nein“ mit, ob Ihr Zahlungskonto über eine ausreichende Deckung verfügt. 

Ja, das können Sie. Die Initiative, Zahlungsdaten weiterzugeben, liegt immer bei Ihnen als Kunde. Deswegen haben Sie auch immer die Möglichkeit, Ihre Zustimmung zurückzuziehen. Der Widerruf Ihrer Zustimmung bei ING ist zurzeit nicht rechtlich zulässig. Er sollte immer bei dem Unternehmen erfolgen, dem Sie ursprünglich Ihre Zustimmung erteilt haben. 

Wenn Sie zugestimmt haben, dass andere Unternehmen Ihre Zahlungsdaten bei ING abfragen dürfen, etwa, um einen Finanzbericht für Sie zu erstellen oder Sie finanziell zu beraten, erhält dieses Unternehmen Informationen von uns. Diese Unternehmen dürfen Ihre Daten nur zu den Zwecken nutzen, für die Sie Ihre Zustimmung erteilt haben. Außerdem müssen sie diese Daten natürlich mit der gebotenen Sorgfalt behandeln. Schauen Sie sich an, wie das bei dem jeweiligen Unternehmen gehandhabt wird. Sie finden diese Informationen z. B. in der Datenschutzerklärung oder den Geschäftsbedingungen des Unternehmens.

Überhaupt nichts. Sie müssen nur etwas tun, wenn Sie Ihre Zustimmung erteilen möchten. Wenn Sie keine Zustimmung erteilen, werden Ihre Kontodaten nicht weitergegeben.

In diesem Fall erhält der Kontoinformationsdienstleister trotzdem die Transaktionsdaten mit Ihrem Namen, Ihrer Kontonummer, dem Verwendungszweck und dem Betrag, den Sie überwiesen haben. Das liegt daran, dass PSD2-Banken gesetzlich verpflichtet sind, diese Transaktionsdaten weiterzugeben.

Der Kontoinformationsdienstleister darf Ihre Transaktionsdaten jedoch nicht ohne Ihre Zustimmung zu anderen Zwecken nutzen. Das ist in der Datenschutz-Grundverordnung (DSGVO) festgelegt. Die nationale Datenschutzkommission von Luxemburg CNPD überwacht die Einhaltung der DSGVO.

Ohne Ihre Zustimmung nichts. Erteilen Sie Ihre Zustimmung für eine Übersicht über Ihre Einnahmen und Ausgaben, dann dürfen diese Daten beispielsweise nicht einfach für einen Überblick über Ihre Kreditwürdigkeit genutzt werden. Diesem Zweck müssen Sie zunächst erneut zustimmen.

Wir gehen ebenso sorgfältig mit Ihren Daten um wie immer. Der Schutz Ihrer Daten hat für uns Priorität. Wir geben Zahlungsdaten nur an andere Anbieter von Kontoaggregations- und Zahlungsauslösediensten weiter, wenn Sie das möchten, und auch nur, wenn Sie dem Anbieter im Vorfeld Ihre Zustimmung erteilt haben. Sie können den Zahlungsdienstleistern Ihre Zustimmung jederzeit wieder entziehen.

Wenn Sie Ihre Zustimmung erteilen, überprüfen wir zunächst, ob das Unternehmen über ein gültiges eIDAS- (electronic IDentification, Authentication and trust Services = elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen) Zertifikat verfügt, das es benötigt, um innerhalb des EWR arbeiten zu können. Das tun wir nicht nur einmalig, sondern jedes Mal, wenn das Unternehmen versucht, auf Informationen zuzugreifen und sie abzurufen.

Wir überprüfen auch, dass der Gültigkeitszeitraum der Zustimmung, die Sie dem Unternehmen erteilt haben, noch nicht abgelaufen ist.

Die Unternehmen dürfen Ihre Daten nur zu den Zwecken verwenden, für die Sie Ihre Zustimmung erteilt haben. Die luxemburgische Datenschutzbehörde überprüft, ob Unternehmen geschlossene Vereinbarungen einhalten.  

Gehen Sie sorgfältig mit Ihren Daten um. Denken Sie darüber nach, ob Sie einem Unternehmen Ihre Daten anvertrauen möchten. Dann sollten Sie beispielsweise zunächst die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung des Unternehmens lesen, an das Sie Ihre Informationen weitergeben möchten. Dadurch erfahren Sie, wie es mit Ihren Daten umgehen wird.

Wir geben Ihre Daten nur dann an andere Unternehmen weiter, wenn Sie Ihre ausdrückliche Zustimmung erteilt haben. Das Unternehmen muss über ein gültiges eIDAS- (electronic IDentification, Authentication and trust Services = elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen) Zertifikat verfügen, das es benötigt, um innerhalb des EWR arbeiten zu können. Diese Unternehmen erhalten nur dann eine Genehmigung, wenn sie strenge Vorgaben erfüllen. Die CSSF führt auch die Aufsicht über diese Unternehmen.

Wenn Sie Ihre Zustimmung erteilen, überprüfen wir zunächst, ob das Unternehmen über ein gültiges eIDAS- (electronic IDentification, Authentication and trust Services = elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen) Zertifikat verfügt, das es benötigt, um innerhalb des EWR arbeiten zu können. Das tun wir nicht nur einmalig, sondern jedes Mal, wenn das Unternehmen versucht, auf Informationen zuzugreifen und sie abzurufen. 

Sie sollten vorsichtig sein, wenn Sie jemandem Zugriff auf Ihr Zahlungskonto gewähren. Bevor Sie einem Unternehmen Ihre Zustimmung erteilen, sollten Sie sorgfältig prüfen, ob Sie das Unternehmen tatsächlich kennen und ob es sinnvoll ist, dass es Sie um diese Zustimmung bittet. Das ist beispielsweise der Fall, wenn Sie eine Dienstleistung des Unternehmens in Anspruch nehmen möchten, für die es diese Daten benötigt. Wenn Sie aufgefordert werden, eine Zahlung zu leisten, sollten Sie auch zunächst überprüfen, dass der Betrag und der Verwendungszweck stimmen.  

Außerdem sollten Sie zunächst die Geschäftsbedingungen und die Datenschutzerklärung des Unternehmens lesen, an das Sie Ihre Informationen weitergeben möchten. Dadurch erfahren Sie, wie es mit Ihren Daten umgehen wird.  

Darüber hinaus können Kriminelle die neuen PSD2-Vorschriften zum Anlass nehmen, Phishing-E-Mails zu versenden. Seien Sie also vorsichtig.

War Ihre Frage nicht dabei? Hier finden Sie weitere Fragen zur PSD2.